پاسخ : بهترین کنترل پنل بعد از cpanel
بستن CGI توسط خود WHM امکان پذیر هست. برای اینکه perl رو روی پورت 80 ببندید که توسط شلر ها اجرا نشه میتونید توی فایل httpd.conf بگردید و handler فایل های .pl یا .perl رو بردارید.
دنبال خط زیر بگردید
کد:
AddHandler cgi-script .cgi .pl .plx .ppl .perl
برای جلوگیری از فعال بودن symlink ها برای یوزر های غیر root بهتره یه نگاه به global configuration توی بخش apache configuration توی whm بندازید. و گزینه ی FollowSymLinks رو غیر فعال کنید. با این کار یوزر حتی با دستکاری .htaccess هم نمیتونه Symlinks رو فعال بکنه.
در مورد مدیریت سرویس ها توسط DA هم بهتره بیشتر بهش فکر بکنید. DA از نظر من 4 تا فرم هست که کار وارد کردن اطلاعات توی فایل های کانفیگوریشن رو راحت تر بکنه
عملا شما اگه php و mysql و apache رو خودتون روی یه سرور نصب بکنید و دستی کانفیگ کنید هیچ فرقی با داشتن DA نمیکنه! دایرکت ادمین فقط یه GUI اینترفیس برای ساده ترین سطح سرور هست. نه مدیریت سرور.
موفق باشید.
پاسخ : بهترین کنترل پنل بعد از cpanel
نقل قول:
نوشته اصلی توسط
Cpt.Liux
بستن CGI توسط خود WHM امکان پذیر هست. برای اینکه perl رو روی پورت 80 ببندید که توسط شلر ها اجرا نشه میتونید توی فایل httpd.conf بگردید و handler فایل های .pl یا .perl رو بردارید.
دنبال خط زیر بگردید
کد:
AddHandler cgi-script .cgi .pl .plx .ppl .perl
برای جلوگیری از فعال بودن symlink ها برای یوزر های غیر root بهتره یه نگاه به global configuration توی بخش apache configuration توی whm بندازید. و گزینه ی FollowSymLinks رو غیر فعال کنید. با این کار یوزر حتی با دستکاری .htaccess هم نمیتونه Symlinks رو فعال بکنه.
در مورد مدیریت سرویس ها توسط DA هم بهتره بیشتر بهش فکر بکنید. DA از نظر من 4 تا فرم هست که کار وارد کردن اطلاعات توی فایل های کانفیگوریشن رو راحت تر بکنه
عملا شما اگه php و mysql و apache رو خودتون روی یه سرور نصب بکنید و دستی کانفیگ کنید هیچ فرقی با داشتن DA نمیکنه! دایرکت ادمین فقط یه GUI اینترفیس برای ساده ترین سطح سرور هست. نه مدیریت سرور.
موفق باشید.
با سلام و تشکر بابت پاسخ شما
ولی ای کاش پاسخ ها با مدرک و ادله و refrence بیان میشد.
ببین برادر من بنده احساس می کنیم شما هیچ کدام از refrence هایی که ارایه شده را مشاهده و مطالعه نکردید.
این چیزی که شما در مورد perl فرمودید هیچ فایده ای برای بهبود امنیت سرور ندارد . زیرا در این روش شخص نفوذ گر می تواند با قرار دادن همین کد ها در .htaccess امکان استفاده از perl را برای یوزر مربوطه override کنه . منبع این حرفم :
How to disable Perl for all users? - cPanel Forums
در مورد symlink هم باید خدمت شما عرض کنم که اینی که شما فرموده اید . در واقع جواب سوال نیست . بلکه پاک کردن صورت سوال است . زیرا به عنوان مثال اگر وب سایتی از جوملا داشته باشد و بخواهد از تنظیمات بهینه که در فایل .htaccess خود ارایه شده است استفاده کند . نمی تواند زیرا شما قابلیت symlink را برداشته اید.خوب برای حل این مشکل بنده در این پست راهکار را گفته ام .
http://www.webhostingtalk.ir/f55/57896/#post543857
ولی اگر همان تاپیک را تا انتها کامل مطالعه فرمایید متوجه خواهید شد که حملات symlink وسیع تر از این موضوعی می باشد که شما فرموده اید . زیرا protection های cpanel از طریق Symlink Race Condition Attack فابل bypass می باشد . که دلیل و منبع این حرفم هم :
How to Prevent Creating Symbolic Links for non root users? - cPanel Forums
http://www.webhostingtalk.ir/f55/578...tml#post545214
در آخر نیز یک نکته خدمتتان عرض کنم و آن هم این است که اگر می خواهید بجث علمی کنید . ممنون میشم که اولا refrence هایی که خدمت شما ارایه می شود را کامل مطالعه نمایید تا بنده دوباره مجبور نشم به تاپیک مربوطه مراحعه کنم و مطالب را دوباره اینجا بنویسم.
2- اگر حرف و مستنداتی در مورد حرفتون دارید لطفا با ارجاع به سایت معتبر لینک دهید.
منتظر جواب شما هستم.
و در آخر نیز یک خواهش ازتون دارم که برای یک بار هم شده حدافل این تاپیک فارسی را از اول تا آخر که کلا 3 صفحه است مطالعه نمایید.
http://www.webhostingtalk.ir/f55/57896/index2.html
با تشکر
پاسخ : بهترین کنترل پنل بعد از cpanel
با allowoveride = none توی httpd.conf میشه جلوی override کردنش توسط .htaccess رو گرفت. دیگه سرور رو کاملا چادریش کردم جاییش بیرون نباشه. حله؟ 8-|
من راستش وقت خوندن 11 صفحه تاپیک رو ندارم. لینک دقیق پست میدادی بهتر بود.
در هر صورت این ها ضعف نیست. متاسفانه مردم ما بیشتر به جای استفاده درست از دانش به دنبال خرابکاری هستند (حالا خوبه همشون یه مشت لمر هستن با exploit اینو اون به یه جا رسیدن . ادعا هم که ماشالا...). و الا تمام option های بالا در cpanel حسن تلقی میشه. شما هم زیاد به خودت سخت نگیر با این حرفا directadmin بهترین نمیشه. الان بهترین های جهان دارن از cpanel استفاده میکنند. بزرگترین هاستینگ های جهان. فکر کنم کافی باشه برای اثباتش که بهترینه.اگه به ایراد هایی که شما گرفتی بود الان همشون کله پا بودن.
پاسخ : بهترین کنترل پنل بعد از cpanel
نقل قول:
نوشته اصلی توسط
Cpt.Liux
با allowoveride = none توی httpd.conf میشه جلوی override کردنش توسط .htaccess رو گرفت. دیگه سرور رو کاملا چادریش کردم جاییش بیرون نباشه. حله؟ 8-|
من راستش وقت خوندن 11 صفحه تاپیک رو ندارم. لینک دقیق پست میدادی بهتر بود.
در هر صورت این ها ضعف نیست. متاسفانه مردم ما بیشتر به جای استفاده درست از دانش به دنبال خرابکاری هستند (حالا خوبه همشون یه مشت لمر هستن با exploit اینو اون به یه جا رسیدن . ادعا هم که ماشالا...). و الا تمام option های بالا در cpanel حسن تلقی میشه. شما هم زیاد به خودت سخت نگیر با این حرفا directadmin بهترین نمیشه. الان بهترین های جهان دارن از cpanel استفاده میکنند. بزرگترین هاستینگ های جهان. فکر کنم کافی باشه برای اثباتش که بهترینه.اگه به ایراد هایی که شما گرفتی بود الان همشون کله پا بودن.
با سلام
شما نمی خوای بخونی و حقیقت را بدانی به من ربطی نداره . من دیگه نمی تونم لقمه را بحویم بذارم توی دهنتون . شما به خودتون زحمت نمی دید .11 صفحه لاتین و یا 3 صفحه فارسی را بخونید . به من ربطی نداره . و قرار نیست که من جورشو بکشم. باشه شما فکر کن که با یک Allow override=none کردن شما می تونی این موضوع را سکیور کنی.باشه من حرفی ندارم در این مورد . اگه شما فکر می کنید که با این کار سکیور میشه . باشه من حرفی ندارم .چون اگر من الان بیام دوباره بهتون refrence بدم در مورد bypass کردن این موضوع باز شما به خودتون زحمت نمی دید تا بخونید و باز حرف خودتون را می زنید.
در مورد symlink هم بهتون توصیه می کنم بیشتر در موردش تحقیق کنید. که یک مقدارشون را اگه خواستید بخودتون زحمت بدید اون 3 صفحه فارسی را مطالعه نمایید.
اگر مخاطبتون توی این جمله" متاسفانه مردم ما بیشتر به جای استفاده درست از دانش به دنبال خرابکاری هستند (حالا خوبه همشون یه مشت لمر هستن با exploit اینو اون به یه جا رسیدن . ادعا هم که ماشالا...)" من هستم . باید خدمتتون عرض کنم بنده نه در این مورد ادعایی دارم . و نه دنبال خرابکاری هستم . زیرا داشتن دید نفوذگری از الزامات یک متخصص امنیت می باشد.و ما با این دید همیشه به موضوع امنیت می نگریم.
و اون چیزی هم که شما در مورد Exploit فرمودید. باید خدمت شما عرض کنم که بنده در این مورد نیز ادعایی ندارم . ولی نیازی هم نمی بینم که exploit هایی که نوشته ام را هم به شما و یا دیگران اطلاع رسانی نمایم. شما فرض کن من به exploit این و اون به اینجا رسیدم . (هر چند به هیج جایی نرسیدم و خودم را در جایگاهی نمی بینم.)
ممنون میشم که نام چندتا از بزرگ ترین هاستینگ ها را نام ببرید که دارند از Cpanel استفاده می کنند که و این مشکلاتی که من گفتم را گریبانگیرشان نیست . ممکن است این شرکت هایی که شما می خواهید نام ببرید با استفاده از Kernel Patching مشکلات نظیر symlink و.... را برطرف نمایند . ولی مطمئن هستم که با یک allowoverride=none و یا غیرفعال کردن symlink این کار را انجام ندادن. تمام حرف بنده نیز در همین پست و همان پست 3 صفحه ای همین بوده است که باید مشکل از کرنل patch شود و cpanel با protection های خودش نمی تونه جلوی این قضیه را بگیره . ولی دایرکت ادمین حداقل در مورد همین symlink با استفاده از پچ ارایه شده توسط Mr.brad در شرکت grsecurity توانسته است موضوع symlink را برطرف نماید. (که این موضوع را در همان تاپیک 3 صفحه ای کامل توضیج دادم.)
---------------
یک چیز دیگه در مورد شرکت های بزرگ هاستینگ باید خدمت شما عرض کنم که اکثر شرکت هایی که شما مد نظرتون هست Security Department مجزا دارند که در مورد مشکلات امنیتی مربوطه solution ارایه می دهند. به عنوان مثال یکی از solution هایی که برای محدود کردن توابع حطرناک در php ارایه می شود محدود کردن توابع در disable_function و استفاده از suhosin می باشد. ولی در صورتی که به عنوان مثال در شرکت یاهو که یکی از بزرگان این حوزه هست . چنین قضیه ای وجود ندارد . و وقتی شما به هر ترتیبی phpinfo بتوانید بگیرید (گرفتن phpinfo هم قلق دارد و براختی نمی توان Phpinfo را دید.) در قسمت disable_function شما فقط می بینید چیزی به نام leak وجود دارد . و هیچ تابع دیگری وجود ندارد. ولی روی این سرور هیچ تابع Php را نظیر exec , shellexec , system و.... را نمی توان اجرا کرد . به نظر شما با همین روش های دوغ آبی که شما میگید این کار را کردن.؟ نه برادر من solution مهمه و با استفاده از متخصصین امنیت می توان سرور امن داشت . نه روش های دوغ آبی .
به هر جال خودتون می دونید. من تمام تلاشم این بود که بهتون بگم که با این روش های دوغ آبی نمی توان سرور را سکیور کرد و protection های خود cpanel توانایی سکیور کردن به طور کامل را ندارند.
حالا اگر شما فکر می کنید با این روش ها میشه این مورد را برطرف کرد. موردی نداره.
امیدوارم کسان دیگه که به خودشون زحمت می دهند از این تاپیک و تاپیک های دیگه که معرفی کردم استفاده بهینه را داشته باشند.
والسلام
پاسخ : بهترین کنترل پنل بعد از cpanel
kloxo هم بد نیست!
ارزش امتحان کردن رو دارد!
